内部不正が発生する原因は？ 事例や対策もあわせて解説

内部不正とは何か

内部不正とは、会社の社員や関係者が起こす不正行為です。

たとえば、社員が金銭目的に機密情報を持ち出すことや退職した従業員が社内システムへアクセスすること、自宅での業務のため持ち出し禁止のデータを持ち出すことなどが含まれます。

情報処理推進機構 （IPA）が公開する「組織における内部不正防止ガイドライン」によると、内部不正に関わる事故として、2014 年に業務再委託先社員による大規模な個人情報漏えい・転売事件が発生しました。また、2012 年以降、1,000 億円規模の損害賠償を請求した技術情報漏えい事件も複数回発生しています。

内部不正は企業の事業継続において、大きな脅威と言えるでしょう。

参考：組織における 内部不正防止ガイドライン｜独立行政法人情報処理推進機構

内部不正が発生する原因

組織の内部不正は、なぜ発生してしまうのでしょうか。

3つの大きな原因について、解説します。

1.組織への不満や人間関係

社員が組織に対して抱く不満や職場の人間関係の悪さが、内部不正につながる可能性があります。

たとえば、「過度なノルマや上司からのパワハラ」「組織の倫理観が欠如している」「十分な報酬を得られない」など、期待した待遇を受けられない不満から、組織の破壊を目的にしたシステムへの侵入や外部への情報流出が発生します。

組織の管理者は、このような不満を見逃さないようにする必要があるでしょう。

2.従業員のセキュリティに対する意識・知識の低さ

従業員が内部不正に対する方針やルールを認識していない場合も、内部不正が起こります。

情報処理推進機構 （IPA）が公開する「内部不正による 情報セキュリティインシデント実態調査」によると、内部不正の6割は「うっかり違反した」「ルールを知らずに違反した」といった故意が認められない事例でした。

過失が起こる背景には、組織の方針やルールの周知が徹底されていないという、管理者側の不備も考えられます。

組織として、従業員のセキュリティリテラシーを高める仕組みが求められるでしょう。

参考：内部不正による 情報セキュリティインシデント実態調査 ｜独立行政法人情報処理推進機構

3.不正を見て見ぬふりする職場環境

小さな不正を見て見ぬふりをする文化が定着している組織は、やがて大きな内部不正を引き起こします。

環境犯罪学には、1枚の割れた窓ガラスを放置していると、やがて街全体の環境が悪化するという「割れ窓理論」があります。

たとえ軽微な不正であっても、それが放置されていることで「これくらいなら大丈夫」という考えが組織全体に広がり、内部不正が起こりやすい環境を作り出します。

不正は絶対に許されない、という文化を組織に定着させることが大切です。

これまで起こってしまった内部不正の事例

ここからは、情報処理推進機構 （IPA）が公開する、実際に起こった内部不正の事例を紹介します。

1.退職時のシステムの破壊

貸与PCのパスワードを変更し、パスワードを忘れたとして会社に通知せず、退職した事例があります。

当該社員は会社のリストラによって退職しており、待遇への不満からこのような行動に至った可能性があると考えられます。

本来、PCの管理権限は会社側でコントロールできる状態であるべきです。

しかし、権限は退職者に委ねられており、パスワードの不明によるシステム破壊が引き起こされてしまいました。

2.プログラムの外部への漏えい

企業において、開発者自身が開発したソースなどを、外部のオンラインストレージへアップロードしたという事例があります。

本人は自身が開発したものであるため、今後何かに役立つかもしれないという認識でこの行動に至ったとのことです。

しかし、開発物は企業の所有物であり、持ち出しは内部不正に該当します。

企業側が社員への教育と技術的な制限（アップロードをブロックするなど）を行っていなかったことが、原因と考えられます。

3.重要なデータなどの外部への漏えい

企業のノートPCが、何者かによって売却されるという事例です。

事例が発生した企業では、ノートPCが長時間机の上に山積みされるという状況が続いており、知らぬ間にそのノートPCが売却されていることが後日発覚しました。

情報資産の管理やフロアの入室管理の不備も原因ですが、PCがむき出しで放置されている状況に違和感を持たない社内環境が引き起こした事例と言えるでしょう。

参考：組織における 内部不正防止ガイドライン｜独立行政法人情報処理推進機構

内部不正を防止するためにできる対策

内部不正を防止するためには、会社としての対策が不可欠です。

効果的な4つの対策について、解説します。

1.方針やルールを作成し、周知する

情報セキュリティに関する方針やルールを作成し、従業員へ周知しましょう。

内部不正が発生する原因で述べたように、方針やルールへの認識の甘さが内部不正につながるケースがあります。

業務上の情報を外部へ漏らすことや本来の目的にそぐわない用途で使用することを禁止して、万が一違反した際は罰則の対象となることを、就業規則などに明記します。

また、普段の業務で就業規則に沿った行動ができるよう、社員へ定期的な教育を行うことも有効です。

2.体制面を強化する

内部不正が起こり難いように、業務体制を強化しましょう。

パスワードを変更して退職をした事例のように、特定の社員に権限を委ねることは悪用の危険性を高めます。

また、作業が特定の社員にのみ集中している場合は、作業ミスが発生しやすくなります。

具体的な強化方法としては、職務を分離して権限の集中を避けることや、複数人で作業および確認を行ってミスの発生を防ぐことなどが挙げられます。

体制面を見直すことで、内部不正を未然に防ぐことができるでしょう。

3.職場環境の維持・メンタル面のケア

内部不正の防止には、健全な職場環境の維持や社員のメンタルケアも大切です。

過度なノルマやパワハラが日常的な職場では、従業員の不満による内部不正が行われている事例が多数あります。

作業環境の問題や過労、または、ハラスメントによる健康障害が発生しないよう、対策を施しましょう。

定期的に、社員のストレスや不満をケアする体制や仕組みを整備することも大切です。

社内で大事（おおごと）にしたくないという社員を考慮し、社外相談窓口を設ける企業もあります。

4.教育の計画および実施

社員向けに、情報セキュリティの教育を行いましょう。会社として情報セキュリティの方針やルールを定めたとしても、肝心の社員が理解していなければ意味がありません。

内部不正の原因でも触れたとおり、社員がルールを認識していないために発生する内部不正は少なくありません。

職務や役割に応じた教育カリキュラムを立案し、定期的かつ継続的に実施しましょう。

また、実施後の効果測定を用いて、カリキュラムを改善することも大切です。

5.委託先の管理

自社だけでなく、業務委託先の情報セキュリティ対策も管理する必要があります。

過去には、委託先の社員が個人情報の保存されたUSBメモリを紛失するといった、セキュリティ事故が発生しています。

事故を未然に防ぐためにも、委託する際には情報セキュリティへの対策状況を確認し、秘密保持契約で問題発生時の責任範囲や対応方法を明確にしましょう。

契約時のみの確認だけでなく、定期的なセキュリティ対策状況の確認も必要です。

内部不正に関するまとめ

内部不正とは、会社の社員や関係者が起こす不正行為です。組織への不満や従業員のセキュリティ意識の低さ、不正を見て見ぬふりをする職場環境が、内部不正の温床となります。

対策を怠った結果、システム破壊や情報漏えいといった、会社に大きな不利益をもたらした事例も多数報告されています。

内部不正の防止のために、早急に対策を行うようにしてください。